Outlook Social Connector – XING

Hi,

wir verteilen bei uns gerade die neue Version vom Outlook Social Connector  und dem XING Connector. Bei dem Xing-Connector gabe es jedoch ein Problem.
Ist der Rechner im internen Netzwerk, kann keine Verbindung mit dem Xing-Server hergestellt werden:

outlook-social-xing-connector
outlook-social-xing-connector

Da wir als Proxy TMG einsetzen, sind die Aufrufe nicht authentifiziert:

tmg-xing-blocked

tmg-xing-blocked

LÖSUNG:

Eine Ausnahme Regel für die IP 2.18.249.135 (Akmai Server) erstellen.

tmg-rule-wihout-proxy
tmg-rule-wihout-proxy
tmg-akmai-server
tmg-akmai-server

Dann funktioniert auch der Zugriff auf die XING Konatke:

tmg-xing-allowed
tmg-xing-allowed

Na dann, Viel Spass beim selber Testen!
CU

Advertisements

TFS 2012 externer Zugriff über Forefront TMG – Fehler 401 am TFS Webserver

Hi,

wir haben heute einen TFS 2012 Server nach außen über das Forefront TMG 2010 veröffentlicht. Besonderheit sollte aber sein, dass die Authentifizierung per Kerberos erfolgen sollte. Dazu wurde am TFS2012 auch schon die Kerberos Authentifizierung aktiviert und konfiguiert, ebenso wurden auch die SPN´s für das TMG Computer Objekt und den TFS-DomainUser erstellt (http/tfsserver.domain.local).

Der interne Zugriff auf den TFS per http://tfsserver.domain.local:8080/tfs und auch per SSL https://tfsserver.domain.local/tfs funktionierte.

Nach dem Einrichten der Publishing Rule auf dem TMG und der Konfiguration der Kerberos Constrained Delegation auf dem TMG erhielten wir aber vom TFS einen 401 (2 5)Fehler beim Aufruf von https://tfs.domain.de/tfs.

Nach langer Fehlersuche fanden wir den Fehler! Auf dem /tfs Verzeichnis der Team Foundation Website war nur der NTLM Authentication Provider in der Windows Authentication aktiv. Nach dem hinzufügen des „Negotiate“ Authentication Providers funktionierte auch der externe Zugriff über die Veröffentlichung auf den TFS!

tfs-kerberos-authentication-provider-negotiate
tfs-kerberos-authentication-provider-negotiate

Na dann, Viel Spass beim selber Testen!
CU

TMG 0x80070008 ERROR_NOT_ENOUGH_MEMORY

Hi,

ein Kunde von uns mailte mich heute heute an, dass er im TMG Log den Fehler „TMG 0x80070008 ERROR_NOT_ENOUGH_MEMORY“ erhält.

tmg-error0x80070008
tmg-error0x80070008

Eine Suche nach dem Fehler im Internet führte uns nur zu Artikeln über ISA 2006 und auch nicht zu dem Problem, was hier vorlag.

Nach einer weiteren Suche in der Konfig, fand sich dan der Fehler:

Es wird eine SIP Kommunikation per Port 5060 aufgebaut. In der TMG Konfig war das SIP Protokol mit dem Port 5060 aber 2x als Protokol angelegt, einmal als SIP und CustomWebkonferenz.

Nach dem Löschen des doppelten Protokolls und der nicht mehr benötigten Firewall Regeln, trat der Fehler dann auch nicht mehr auf.

Na dann, Viel Spass beim selber Testen!
CU

FTP Uploads von kleinen Dateien bricht ab Gateway ISA2006

Hi,

ein Kunde meldete sich heute bei mir, er hat ein Problem mit dem Upload von vielen kleinen FTP Dateien zu einem Zielsystem. Sein eigenes Netz ist durch einen ISA2006 abgegrenzt.

Beim Transfer (Upload) von einer oder mehreren (10) großen Dateien gab es keine Probleme. Aber wenn er viele kleine Dateien (mehrere Hundert) von seinem Rechner zum Zielsystem transferieren wollte, wurden X Dateien transferiert und danach brach der Client die Verbindung ab.

Im ISA2006 Live Logging waren aber keine Fehler erkennbar, zum Zeitpunkt des Abbruchs.

Nach einigen Tests und Troubleshootings haben wir dann mal, zum Test die Flood Mitigation vom ISA2006 deaktiviert.

isa-flood-mitigation-settings
isa-flood-mitigation-settings-disable

Nach der Deaktivierung funktioniert der komplette Transfer aller Dateien ohne Unterbrechungen. Also war zumindest grob die Ursache der Unterbrechungen ausgemacht.

Nach weiteren Analysen und Tests haben wir die „Maxium Half-open TCP Connections“ als Ursache ausgemacht, da der FTP Client für jede Datei eine Verbindung herstellt.
Da die Werte für die „Maxium Half-open TCP Connections“ aber nicht änderbar sind muss man, die „“Maxium concurrent TCP Connections per IP Address“ vom Standardwert (160) erhöhen, hier z.b. 260.

isa-flood-mitigation-settings-tcp-concurrent
isa-flood-mitigation-settings-tcp-concurrent

Damit ändern sich auch die  „Maxium Half-open TCP Connections“ von 80 auf 130 (immer die Hälfte).

isa-flood-mitigation-settings-tcp-halfopen
isa-flood-mitigation-settings-tcp-halfopen

Somit kann der FTP Client jetzt ohne Unterbrechungen erfolgreich alle Dateien per FTP hochladen.

Na dann, Viel Spass beim selber Testen!
CU

Lync 2013 Client Proxy Abfrage

Hi,

ein Kollegen hat mich auf eine Auffälligkeit des Lync 2013 Client hingewiesen, dass beim Start oder während der Nutzung des neuen Lync 2013 Client,  verlangt der Client eine Proxy Authentifizierung aus unserem internen Netz beim Proxy.

Ich habe mit ihm das Verhalten dann mal analysiert: Diese Abfrage kommt aber NICHT vom Lync Client oder dem Aufruf der Lync Server.
Ursache ist der Office/Outlook Social Connector, welcher sich zu xing.com verbinden möchte:

[UPDATE:]
Es müssen die richtigen DNS Einträge gesetzt sein für lyncdiscover.domain.de und lyncdiscoverinternal.domain.de wie auch lyncdiscoverinternal.domain.local.
Weiterhin sollte am TMG/ISA eine Regel eingerichtet werden, dass der die Lync Clients als „all users“ zu den gepublishten Servern gelangen (also ohne Authentifizierung).
Der Lync Client versucht die Bilder der Benutzer runterzuladen vom Adressbuch per Zugriff von „Außen“

Mit dem Lync 2013 CU1 scheint der Fehler der Proxy Authentifizierung auch behoben.[/UPDATE]

 

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Forefront Threat Management Gateway (TMG) wird eingestellt

Hi,

ohne Vorwarnung hat Microsoft die neue Roadmap (Important Changes to Forefront Product Roadmaps) für die Forefront Produktreihe veröffentlicht:

Important Changes to Forefront Product Roadmaps

Today, as a result of our effort to better align security and protection solutions with the workloads and applications they protect, Microsoft is announcing changes to the roadmaps of some of the security solutions made available under the Forefront brand.

  1. As part of this effort, the next release of Forefront Online Protection for Exchange, which has long been part of the Office 365 solution, will be named Exchange Online Protection.
  2. In response to customer demand, we are adding basic antimalware protection to Exchange Server 2013. This protection can be easily turned off, replaced, or paired with other services (like Exchange Online Protection) to provide a layered defense.
  3. We are discontinuing any further releases of the following Forefront-branded solutions:
  • Forefront Protection 2010 for Exchange Server (FPE)
  • Forefront Protection 2010 for SharePoint (FPSP)
  • Forefront Security for Office Communications Server (FSOCS)
  • Forefront Threat Management Gateway 2010 (TMG)
  • Forefront Threat Management Gateway Web Protection Services (TMG WPS)

For collaboration protection, SharePoint and Lync Servers will continue to offer the built-in security capabilities that many customers use to protect shared documents. For remote access, DirectAccess and Routing and Remote Access Server (RRAS) VPN in Windows Server 2012 provide secure remote access for Windows and cross-platform clients, as well as cross-premise access through site to site VPN. Forefront Unified Access Gateway (UAG) 2010 also continues to provide secure application publishing and cross-platform SSL VPN remote access for a range of mobile devices.

Na dann, Viel Spass beim selber Testen!
CU